Souvent des floods/overflow sur IIS ou Exchange (integer overflow DDos) Mais aussi des attaques par générations de paquets fragmentés (le plus courant).
Ok, mais qu'entend tu par "non patchee" ? Si tu es sur que c'est une faille que l'on devrait corriger et qui ne l'a pas ete, je serai ravi d'avoir une capture reseau de la chose.
Le truc qui sert de parefeu à Windows XP me fait bien rire, je lui accorde une confiance très réduite (surtout qu'il est pas forcément au top quand il s'agit d'empécher des infos de sortir de ma machine).
Il est largement suffisant pour te proteger pendant que tu patches
Pour avoir le firewall XP il faut quand même un CDRom (ou une bonne blague de partition de restore) relativement à jour. Il existe des gens (et ils sont nombreux) qui n'on pas acheter leur ordinateur il y a moins de 8 mois et qui de fait peuvent ne pas avoir le firewall dans leur installation par défaut.
Ah bon ? Il est la par defaut, si tu as XP installe, le firewall il est la.
J'aime pas du tout windows XP. Autant j'apprécie à leur juste valeur 2003 serveur et Windows 2000 professionnal, autant XP ne m'apporte rien et même me coute a cause du temps que je passe à désactiver l'ensemble des des blings-blings dont je me fout royalement.
Ca je suis d'accord avec toi, mais d'autres gens ont une opinion differente, les gouts et les couleurs...
Je ne sais pas si certains ont essayés mais il existe sous win des programmes qui permettent de "nettoyer" la ram et de la libérer (rambooster par exemple). Peut-être simplement que ça permettrait de faire tourner plus simplement.
Ces softs sont une escroquerie, aucun de ces softs n'est capable de liberer de la RAM sur W2k/XP/WS03
L'utilisation d'outils simple comme ps, netstat, find ... permettra de détecter son activité et de l'éradiquer.
Ah parce que tu crois qu'un utilisateur lambda sait que ps, netstat, find, ... existent et sait comment les utiliser ? Tu reves.
Si on travaille en root il suffit au virus/spyware d'ajouter un rootkit pour modifier ces commandes de base ou ajouter des modules noyaux qui masqueront son activité !
Oui, mais si tu travailles en utilisateur il peut se cacher parmis les differents fichiers que tu as(genre prendre un de tes documents et se renommer mondocument.txt.bak, ou se nommer toto.mp3 dans ton repertoire de mp3 et hop, bien cache) et ca devient des lors largement assez dur a trouver pour le commun des mortels.
le modèle de sécurité de windows est tellement obscure pour l'utilisateur et développeur lambda que en général XP, 2000, NT sont équivalent en terme de sécurité que 98, 95, 3.1 .. DOS
Obscur pour les developpeurs qui ne prennent pas la peine de se documenter c'est sur, mais ca c'est le probleme des developpeurs, ils sont senses etre assez intelligents pour comprendre un systeme de permission classique.
a) T'es pas oblige de lire des fichiers DRM
b) Le systeme te demande avant de s'updater
c) Si tu refuses l'update, tu ne perds rien de ce que tu as deja, tu ne peux simplement pas lire les fichiers qui demandent l'update(et ca, ca depend de l'editeur de la chanson, pas de MS)
- Chaque fichier a des permissions, une de ces permissions est la permission d'executer
- L'OS regarde les extensions pour determiner si il va tenter d'executer un soft, que le soft ait l'extension .exe ne signifie pas que l'execution va s'effectuer.
Bref, il suffirait a Outlook/IE/... d'enlever le droit d'execution des fichiers qu'ils sauvent.
J'ai du mal a comprendre en quoi ca le ralentit.
Si le virus est stupide est fait ca en lineaire alors oui, un virus un tant soit peut intelligent lance plusieurs connections en meme temps sur plusieurs machines en attendant les reponses sur les connections precedentes, et des lors le temps d'attente ne va pas changer grand chose, il agrandira simplement la liste d'attente.
De meme, un serveur web avec IIS/ASP.Net, t'as besoin de rien d'autre, ca n'a vraiment rien a voir.
Si tu installes sur ton serveur Apache un outil de blog ou autre en PHP qui n'est pas dans ta distrib, si il y a une faille dans l'outil, meme topo, et ton outil il peut etre GPL ca n'y change rien.
Le droit d'execution sur un fichier c'est la depuis longtemps, la maniere dont c'est applique par le browser/soft de mail/... pour des softs downloades c'est autre chose.
Mais bon, cette feature n'a de toute facon rien a voir avec le fait qu'il y ait un reseau ou pas.
Et ? Faut etre realiste, les gens vont utiliser des softs ne venant pas avec les distrib, le logiciel proprietaire ne va pas disparaitre du jour au lendemain.
Bref, dans le monde reel, Linux a le meme probleme d'update.
Le spyware ne pourras pas se dissimuler des outils antivirus et firewalls (lancés en tant qu'administrateur). Pour commencer.
Il pourra se dissimuler de plein de manieres, eviter un anti-virus c'est pas vraiment le probleme, tu connais bcp d'anti-virus qui bloquent les spyware par exemple ?
Firewall, idem, suffit d'injecter du code dans un processus de l'utilisateur et c'est regle, pas besoin d'etre admin pour ca.
Ensuite, il ne pourras pas réécrire des exécutables, et dans le cas d'un ver il ne pourras pas forger de paquets. Il ne pourras pas non plus empêcher l'installation du correctif de sécurité par le système de mise à jour.
Forger des paquets c'est tellement utile qu'aucun virus ne fait ca aujourd'hui, quand a reecrire des executables, il suffit d'ecrire des nouveaux executables, pas besoin de reecrire.
Quand a installer le correctif, quel est le besoin ? T'as un virus deja installe, installer le correctif ne va rien changer, le virus sera toujours la.
Enfin, si Mr Duchmol a une femme qui bosse sur un projet important pour elle, il ne laisseras pas le ver compromettre cela.
C'est bien le seul avantage, et pour ca il faut que plusieurs comptes aient ete cree, ce qui n'est malheureusement pas souvent le cas.
Faudrais vraiment organiser des cours sur les notions basiques de sécurité à microsoft: la séparation des privilège c'est un peu un principe de base.
Moi je crois plutot que tu devrais arreter de repeter des notions de securite qui si elles sont logiques dans un environnement d'entreprise (plusieurs utilisateurs, IDS, ...) ne sont pas si efficaces dans un environnement desktop ou les choses a proteger sont differentes(tout est dispo depuis le meme utilisateur).
En attendant, c'est quand même beaucoup plus compliqué pour le ver qui doit trouver une excuse pour demander le mot de passe à l'utilisateur, et le faire de manière crédible.
Malheureusement ca ne l'est pas, tres souvent il lui suffit de demander, simplement en mettant comme titre un truc qui fait un peu peur a l'utilisateur et qui commence par "Microsoft Windows" pour le rendre officiel.
Pour le SP2, le temps de terminer le win update, c'est déjà trop tard, c'est déjà rentré. (ca aussi c'est du vécu)
Si t'as ton firewall qui tourne, j'ai du mal a voir comment cela peut se produire.
Tiens, pour éviter ça, une idée à faire breveter : "Pendant le processus de mise à jour, bloquer TOUT le traffic internet de la machine sauf venant du site d'update"
Trop tard, WS03 SP1 (et XP SP2 je crois) font deja ca :+)
Exactement, faut dire aussi que j'ai pas d'anti-virus installe, une fois de temps en temps je vais chez McAfee/Symantec et demande un scan pour avoir la tete tranquille, mais jamais rien n'a ete decele.
Mon OpenBSD trappe une attaque non patché pour windows environ 3 fois par jour. Et une attaque patchée depuis moins de trois mois toutes les 20-25 minutes.
J'aimerais bien savoir quelle est cette attaque non patchee, des details ?
Mon reccord est avec une machine fraichement réisntallée avec le CD Windows XP SP1 qui a tenu 3 minutes 30 avant de se faire infecter (par un hack netbios en plus)
Sur un Windows professional standard je ne vois pas comment on peut éviter une infection éclair à moins d'éteindre 90% des services et de tuer l'explorer. (Et faire super attention à ce qu'ils ne se relance pas).
Il y a un firewall sur XP, il serait de bon ton de le demarrer avant d'aller te promener avec une machine qui n'est pas a jour niveau patch, ca me parait logique non ? Quand a l'anti-virus, je n'en vois toujours pas l'utilite, si il n'y a pas da faille, le virus ne passe pas. Pour qq'un qui sait ce qu'il fait, l'AV n'est pas necessaire.
Mon frère a le firewall windows, et il s'active apres l'activation du réseau ^^ il est obligé de débrancher sa freebox avant de booter sinon il choppe un virus.
Monsieur duchmol a son desktop a la maison, il a un compte admin, et un compte "duchmol" sans droits d'admin qu'il utilise tout le temps.
Alors qu'il est sous le compte "duchmol", il se choppe un ver/spyware/...
Quel est le resultat pour duchmol ?
Toutes les donnees qu'il a, elles sont sous le compte duchmol, chaque fois qu'il se logge c'est sous duchmol, le compte duchmol peut ouvrir des ports reseaux et communiquer avec l'exterieur, bref le spyware/ver/... a acces a tout ce qui est interessant sur le systeme, et vu que le gars se logge tout le temps sous duchmol, le ver tourne tout le temps.
Le gars n'y gagne rien au final, il devra reinstaller la machine, et il perd tout.
Alors oui, un compte admin c'est tres bien sur des serveurs ou t'as plusieurs comptes differents et faut faire une distinction, mais sur la plupart des desktops c'est a peu pres inutile, car si le compte de l'utilisateur est viole(qu'il soit admin ou pas), ben vu que tout est sous ce compte, tout est perdu.
Du blabla faux en pratique ? Non, là tu deviens franchement excessif et je commences à douter de tes connaissances pratiques concernant linux par exemple.
Non c'est une realite, le fait que les sources soient publiques n'a jamais ete prouve comme ayant fortement aide a trouver les failles, la plupart sont reportees par des gens qui font du fuzzing et autres techniques ne necessitant pas les sources, ou par les developpeurs du produit car eux sont capables de comprendre le code.
Faut rester realiste, un gros projet genre KDE/Mozilla/... il faut connaitre le code pour pouvoir l'analyser, et peu de gens peuvent faire ca.
Et ce qui n'a pas été mentionné, c'est la facilité de la mise à jour avec un gnu/linux bien installé. Essaie de mettre à jour une plateforme windows, attention, pas seulement office et xp, mais bien tes logiciels et dis moi si primo, c'est possible et secondo combien de temps cela te prends ?
Ca me prend le meme temps que d'updater un Linux avec des softs venant d'autres sources que la distrib(genre installer Oracle, Opera, etc... ).
J'en doutes, c'est arrive avec la zlib, MS a sorti le patch a temps.
Effectivement si l'exploit est diffuse avant qu'on apprenne la faille, evidemment que c'est dangereux, mais c'est le meme topo dans le monde open source, ils n'ont pas encore IPoT installe.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 0.
Ok, mais qu'entend tu par "non patchee" ? Si tu es sur que c'est une faille que l'on devrait corriger et qui ne l'a pas ete, je serai ravi d'avoir une capture reseau de la chose.
Le truc qui sert de parefeu à Windows XP me fait bien rire, je lui accorde une confiance très réduite (surtout qu'il est pas forcément au top quand il s'agit d'empécher des infos de sortir de ma machine).
Il est largement suffisant pour te proteger pendant que tu patches
Pour avoir le firewall XP il faut quand même un CDRom (ou une bonne blague de partition de restore) relativement à jour. Il existe des gens (et ils sont nombreux) qui n'on pas acheter leur ordinateur il y a moins de 8 mois et qui de fait peuvent ne pas avoir le firewall dans leur installation par défaut.
Ah bon ? Il est la par defaut, si tu as XP installe, le firewall il est la.
J'aime pas du tout windows XP. Autant j'apprécie à leur juste valeur 2003 serveur et Windows 2000 professionnal, autant XP ne m'apporte rien et même me coute a cause du temps que je passe à désactiver l'ensemble des des blings-blings dont je me fout royalement.
Ca je suis d'accord avec toi, mais d'autres gens ont une opinion differente, les gouts et les couleurs...
[^] # Re: Sauf que ...
Posté par pasBill pasGates . En réponse à la dépêche Wine débarque bientôt. Évalué à 3.
Ces softs sont une escroquerie, aucun de ces softs n'est capable de liberer de la RAM sur W2k/XP/WS03
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 1.
a) Installe XP sans etre connecte au reseau
b) Demarre le firewall de XP
c) Connecte au reaseau et le SP2 + autres patches plus recents
d) Redemarre
Il y a quoi de complique la dedans ?
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 0.
Ah parce que tu crois qu'un utilisateur lambda sait que ps, netstat, find, ... existent et sait comment les utiliser ? Tu reves.
Si on travaille en root il suffit au virus/spyware d'ajouter un rootkit pour modifier ces commandes de base ou ajouter des modules noyaux qui masqueront son activité !
Oui, mais si tu travailles en utilisateur il peut se cacher parmis les differents fichiers que tu as(genre prendre un de tes documents et se renommer mondocument.txt.bak, ou se nommer toto.mp3 dans ton repertoire de mp3 et hop, bien cache) et ca devient des lors largement assez dur a trouver pour le commun des mortels.
le modèle de sécurité de windows est tellement obscure pour l'utilisateur et développeur lambda que en général XP, 2000, NT sont équivalent en terme de sécurité que 98, 95, 3.1 .. DOS
Obscur pour les developpeurs qui ne prennent pas la peine de se documenter c'est sur, mais ca c'est le probleme des developpeurs, ils sont senses etre assez intelligents pour comprendre un systeme de permission classique.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 0.
cf. http://linuxfr.org/comments/559697,1.html
Tristant dit des conneries et c'est extremement clair quand on lit la licence : https://linuxfr.org/comments/543071.html#543071
a) T'es pas oblige de lire des fichiers DRM
b) Le systeme te demande avant de s'updater
c) Si tu refuses l'update, tu ne perds rien de ce que tu as deja, tu ne peux simplement pas lire les fichiers qui demandent l'update(et ca, ca depend de l'editeur de la chanson, pas de MS)
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 1.
- Chaque fichier a des permissions, une de ces permissions est la permission d'executer
- L'OS regarde les extensions pour determiner si il va tenter d'executer un soft, que le soft ait l'extension .exe ne signifie pas que l'execution va s'effectuer.
Bref, il suffirait a Outlook/IE/... d'enlever le droit d'execution des fichiers qu'ils sauvent.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 1.
[^] # Re: Sauf que ...
Posté par pasBill pasGates . En réponse à la dépêche Wine débarque bientôt. Évalué à 2.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 1.
pour un logiciel open source.
Ah bon ? Depuis quand c'est interdit ?
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 1.
Si le virus est stupide est fait ca en lineaire alors oui, un virus un tant soit peut intelligent lance plusieurs connections en meme temps sur plusieurs machines en attendant les reponses sur les connections precedentes, et des lors le temps d'attente ne va pas changer grand chose, il agrandira simplement la liste d'attente.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 2.
Si tu installes sur ton serveur Apache un outil de blog ou autre en PHP qui n'est pas dans ta distrib, si il y a une faille dans l'outil, meme topo, et ton outil il peut etre GPL ca n'y change rien.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 2.
Mais bon, cette feature n'a de toute facon rien a voir avec le fait qu'il y ait un reseau ou pas.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 2.
Imagines que t'aies le meme probleme sous Linux, tu ferais quoi ?
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à -1.
Bref, dans le monde reel, Linux a le meme probleme d'update.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à -1.
Il pourra se dissimuler de plein de manieres, eviter un anti-virus c'est pas vraiment le probleme, tu connais bcp d'anti-virus qui bloquent les spyware par exemple ?
Firewall, idem, suffit d'injecter du code dans un processus de l'utilisateur et c'est regle, pas besoin d'etre admin pour ca.
Ensuite, il ne pourras pas réécrire des exécutables, et dans le cas d'un ver il ne pourras pas forger de paquets. Il ne pourras pas non plus empêcher l'installation du correctif de sécurité par le système de mise à jour.
Forger des paquets c'est tellement utile qu'aucun virus ne fait ca aujourd'hui, quand a reecrire des executables, il suffit d'ecrire des nouveaux executables, pas besoin de reecrire.
Quand a installer le correctif, quel est le besoin ? T'as un virus deja installe, installer le correctif ne va rien changer, le virus sera toujours la.
Enfin, si Mr Duchmol a une femme qui bosse sur un projet important pour elle, il ne laisseras pas le ver compromettre cela.
C'est bien le seul avantage, et pour ca il faut que plusieurs comptes aient ete cree, ce qui n'est malheureusement pas souvent le cas.
Faudrais vraiment organiser des cours sur les notions basiques de sécurité à microsoft: la séparation des privilège c'est un peu un principe de base.
Moi je crois plutot que tu devrais arreter de repeter des notions de securite qui si elles sont logiques dans un environnement d'entreprise (plusieurs utilisateurs, IDS, ...) ne sont pas si efficaces dans un environnement desktop ou les choses a proteger sont differentes(tout est dispo depuis le meme utilisateur).
En attendant, c'est quand même beaucoup plus compliqué pour le ver qui doit trouver une excuse pour demander le mot de passe à l'utilisateur, et le faire de manière crédible.
Malheureusement ca ne l'est pas, tres souvent il lui suffit de demander, simplement en mettant comme titre un truc qui fait un peu peur a l'utilisateur et qui commence par "Microsoft Windows" pour le rendre officiel.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 0.
Si t'as ton firewall qui tourne, j'ai du mal a voir comment cela peut se produire.
Tiens, pour éviter ça, une idée à faire breveter : "Pendant le processus de mise à jour, bloquer TOUT le traffic internet de la machine sauf venant du site d'update"
Trop tard, WS03 SP1 (et XP SP2 je crois) font deja ca :+)
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 1.
Peut-etre, mais dans quel sens ? Vers l'exterieur ? oui, mais c'est pas le probleme, ici on cherche comment aller a l'interieur depuis l'exterieur.
Si c'est de l'exterieur vers l'interieur je sais tres interesse par l'article, on peut le trouver qqe part sur le net ?
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 1.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 0.
J'aimerais bien savoir quelle est cette attaque non patchee, des details ?
Mon reccord est avec une machine fraichement réisntallée avec le CD Windows XP SP1 qui a tenu 3 minutes 30 avant de se faire infecter (par un hack netbios en plus)
Sur un Windows professional standard je ne vois pas comment on peut éviter une infection éclair à moins d'éteindre 90% des services et de tuer l'explorer. (Et faire super attention à ce qu'ils ne se relance pas).
Il y a un firewall sur XP, il serait de bon ton de le demarrer avant d'aller te promener avec une machine qui n'est pas a jour niveau patch, ca me parait logique non ? Quand a l'anti-virus, je n'en vois toujours pas l'utilite, si il n'y a pas da faille, le virus ne passe pas. Pour qq'un qui sait ce qu'il fait, l'AV n'est pas necessaire.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 2.
Faudrait dire a ton frere d'installer le SP2...
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 2.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 1.
Exemple :
Monsieur duchmol a son desktop a la maison, il a un compte admin, et un compte "duchmol" sans droits d'admin qu'il utilise tout le temps.
Alors qu'il est sous le compte "duchmol", il se choppe un ver/spyware/...
Quel est le resultat pour duchmol ?
Toutes les donnees qu'il a, elles sont sous le compte duchmol, chaque fois qu'il se logge c'est sous duchmol, le compte duchmol peut ouvrir des ports reseaux et communiquer avec l'exterieur, bref le spyware/ver/... a acces a tout ce qui est interessant sur le systeme, et vu que le gars se logge tout le temps sous duchmol, le ver tourne tout le temps.
Le gars n'y gagne rien au final, il devra reinstaller la machine, et il perd tout.
Alors oui, un compte admin c'est tres bien sur des serveurs ou t'as plusieurs comptes differents et faut faire une distinction, mais sur la plupart des desktops c'est a peu pres inutile, car si le compte de l'utilisateur est viole(qu'il soit admin ou pas), ben vu que tout est sous ce compte, tout est perdu.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 0.
Qu'ils blament le comportement des utilisateurs, le piratage, ... mais l'OS n'est pas en faute.
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 0.
Non c'est une realite, le fait que les sources soient publiques n'a jamais ete prouve comme ayant fortement aide a trouver les failles, la plupart sont reportees par des gens qui font du fuzzing et autres techniques ne necessitant pas les sources, ou par les developpeurs du produit car eux sont capables de comprendre le code.
Faut rester realiste, un gros projet genre KDE/Mozilla/... il faut connaitre le code pour pouvoir l'analyser, et peu de gens peuvent faire ca.
Et ce qui n'a pas été mentionné, c'est la facilité de la mise à jour avec un gnu/linux bien installé. Essaie de mettre à jour une plateforme windows, attention, pas seulement office et xp, mais bien tes logiciels et dis moi si primo, c'est possible et secondo combien de temps cela te prends ?
Ca me prend le meme temps que d'updater un Linux avec des softs venant d'autres sources que la distrib(genre installer Oracle, Opera, etc... ).
[^] # Re: nan rien...
Posté par pasBill pasGates . En réponse à la dépêche Réactions au site pecephobie.be. Évalué à 2.
Effectivement si l'exploit est diffuse avant qu'on apprenne la faille, evidemment que c'est dangereux, mais c'est le meme topo dans le monde open source, ils n'ont pas encore IPoT installe.